[º¸¾È´º½º= ¹éÁ¦Çö Çѱ¹CISSPÇùȸ ºÎȸÀå] ¡°Á¤º¸º¸È£(ï×ÜÃÜÁûÞ; Information Protection)¿Í Á¤º¸º¸¾È(ï×ÜÃÜÁäÌ; Information Security) Áß¿¡¼ ¾î´À °ÍÀÌ ¿ÇÀº Ç¥ÇöÀԴϱî?¡± ¶ó´Â Áú¹®Àº »ç½Ç ¼ö³â ÀüºÎÅÍ µé¾î¿Ô´ø Áú¹®ÀÌ´Ù. ¶ÇÇÑ ÀÌ Áú¹®¿¡ ´ëÇؼ ¼ø°£ÀûÀ¸·Î ¾î´À °ÍÀÌ ¿Ç´Ù°í ¸íÈ®ÇÏ°Ô Á¤ÀÇ ³»¸± ¼ö ¾ø´Ù´Â ÀÌÀ¯·Î Áö³ ¼ö³â°£ µÎ ¿ë¾î´Â ±¸º° ¾øÀÌ ¸ðÈ£ÇÏ°Ô »ç¿ëµÅ ¿Ô´Ù.
±×·¯³ª Á¤º¸º¸¾È ºÐ¾ßÀÇ ±¹Á¦ÀûÀΠǥÁØÀ̶ó°íµµ ÇÒ ¼ö ÀÖ´Â (ISC)©÷ CISSP CBK°¡ ³× ¹ø°·Î °³Á¤µÅ ¹ß°£µÈ Çö ½ÃÁ¡¿¡ ÁîÀ½ÇØ Á¤º¸¡¯º¸È£¡¯¿Í Á¤º¸¡¯º¸¾È¡¯À̶ó´Â ¿ë¾î¸¦ ±¸º°ÇÒ ¼ö ÀÖ´Â ±âÁØ ¾øÀÌ ¸ðÈ£ÇÏ°Ô »ç¿ëµÇ´Â ¿øÀÎÀ» ºÐ¼®ÇØ º½°ú µ¿½Ã¿¡ µÎ ¿ë¾î¸¦ ±¸º°ÇÒ ¼ö ÀÖ´Â ±âÁØÀ» Á¦½ÃÇÏ°í, ±×·¯ÇÑ ±¸º°ÀÇ ±Ù°Å¸¦ (ISC)©÷ CISSP CBK¿¡¼ ã¾Æº¸°íÀÚ ÇÑ´Ù.
¿ì¼± ¡®º¸È£¡¯¿Í ¡®º¸¾È¡¯À̶ó´Â ¿ë¾î¿¡ °üÇØ ±âÁ¸¿¡ Á¸ÀçÇÏ°í ÀÖ´ø ¸î °¡Áö Á¤ÀǸ¦ Àá±ñ »ìÆ캸¸é ¾Æ·¡ÀÇ Ç¥¿Í °°´Ù.
<Ç¥-1> º¸È£¿Í º¸¾È¿¡ °üÇÑ ¸î °¡Áö Á¤ÀÇ(»ç·Ê)
<Ç¥-1>¿¡¼ »ìÆ캻 °Íó·³ º¸È£¿Í º¸¾ÈÀ̶ó´Â ¿ë¾î¿¡ °üÇØ ¸íÈ®ÇÏ°Ô ±¸º°À» ÇÏ´Â ±âÁØÀÌ ¡®ÀÌ°ÍÀÌ´Ù¡¯¶ó°í ¸»ÇϱⰡ ¾î·Á¿î Çö½ÇÀÌ´Ù. »ç½Ç»ó ±×·² ¼ö¹Û¿¡ ¾ø´Â ÀÌÀ¯¸¦ »ìÆ캸¸é, Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ °ü°è´Â µÑ Áß¿¡ Çϳª¸¸ ¸Â´Â Ç¥¸®ÀÇ °ü°è°¡ ¾Æ´Ï¶ó ¡°¼±ÅÃÀû °ü°è¡±À̱⠶§¹®ÀÌ´Ù.
Áï, Á¤º¸º¸È£(Information Protection)µµ ¸Â´Â Ç¥ÇöÀÌ°í Á¤º¸º¸¾È(Information Security)µµ ¸Â´Â Ç¥ÇöÀ̶ó´Â °ÍÀÌ´Ù. ´Ù¸¸ ¾î¶² °æ¿ì¿¡ ¡®Á¤º¸º¸È£¡¯¶ó°í »ç¿ëÇÏ°í ¾î¶² °æ¿ì¿¡ ¡®Á¤º¸º¸¾È¡¯À̶ó°í »ç¿ëÇÒ °ÍÀΰ¡¿¡ ´ëÇÑ ¼±ÅÃÀÌ ³²¾Æ ÀÖ´Ù´Â °ÍÀÌ´Ù. µû¶ó¼ ÀÌ·¯ÇÑ ¼±ÅÃÀ» ÇÔ¿¡ ÀÖ¾î¼ ¸ðÈ£ÇÔÀÌ Á¸ÀçÇÏ´Â ÀÌÀ¯¸¦ ¸ÕÀú »ìÆ캼 ÇÊ¿ä°¡ ÀÖ´Ù.
¸ðÈ£ÇÔÀÇ µÎ °¡Áö ¿øÀÎ
Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀº ¿ë¾î ±× ÀÚü·Î´Â µÎ °¡Áö ¸ðµÎ°¡ ¸Â´Â Ç¥Çö¿¡ ÇØ´çÇÑ´Ù. ÇÏÁö¸¸, °¢ ¿ë¾î°¡ ³»Æ÷ÇÏ°í ÀÖ´Â Àǹ̿¡ À־ ºÐ¸í ´Ù¸¥ ºÎºÐÀÌ ÀÖ¾î¾ß¸¸ °¢ ¿ë¾î°¡ º°µµ·Î Á¸ÀçÇÏ´Â ÀÌÀ¯°¡ µÉ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ±×·³¿¡¼ ºÒ±¸ÇÏ°í µÎ °¡Áö ¿ë¾î°¡ ±¸º° ¾øÀÌ È¥¿ëµÇ´Â ¿øÀÎÀ» »ìÆ캸¸é µÎ °¡Áö ÀÌÀ¯°¡ ÀÖÀ» ¼ö ÀÖ´Ù. ±× ù ¹ø° ¿øÀÎÀº ¹Ù·Î ¡®±¸º° ±âÁØÀÇ ºÎÀ硯¸¦ ²ÅÀ» ¼ö ÀÖ´Ù. Áï, ¾î¶² °æ¿ì¿¡ ¡®Á¤º¸º¸È£¡¯¶ó°í »ç¿ëÇÏ°í ¾î¶² °æ¿ì¿¡ ¡®Á¤º¸º¸¾È¡¯À̶ó°í »ç¿ëÇÏ´Â °ÍÀΰ¡¿¡ °üÇÑ ±âÁØÀÌ ¾ø´Ù´Â °ÍÀÌ´Ù.
±×·¯ÇÑ »óȲÀÌ´Ù º¸´Ï µÎ ¿ë¾î¸¦ Àд µ¶ÀÚÀÇ ÀÔÀå¿¡¼µµ ±× Àǹ̸¦ ÆľÇÇϴµ¥ ¸ðÈ£ÇÔÀÌ Á¸ÀçÇÒ ¼ö¹Û¿¡ ¾ø´Â °ÍÀÌ´Ù. µÎ ¹ø° ¿øÀÎÀº ¡®´ë»óÀÇ µ¿Àϼº¡¯À» µé ¼ö ÀÖ´Ù. Áï, Á¤º¸º¸È£(Information Protection)¶ó´Â ¿ë¾î¿Í Á¤º¸º¸¾È(Information Security)À̶ó´Â ¿ë¾î¿¡¼µµ ¾Ë ¼ö ÀÖµíÀÌ, ¡®Á¤º¸(Information)¡¯¶ó´Â ¿ë¾î°¡ µ¿ÀÏÇÏ°Ô »ç¿ëµÇ°í ÀÖ´Ù. ±×·¯´Ù º¸´Ï µÎ °¡Áö ¿ë¾îÀÇ »ç¿ë¿¡ ´ëÇÑ ¸íÈ®ÇÑ ±¸º°ÀÇ ±âÁØÀÌ ¾ø´Â »óȲ¿¡¼ Á¤º¸(Information)¶ó´Â µ¿ÀÏÇÑ ´ë»óÀÌ ÁÖ´Â ¸ðÈ£ÇÔÀÌ ´õÇØ Á®¼ º¸È£¶ó´Â ¿ë¾î¿Í º¸¾ÈÀ̶ó´Â ¿ë¾î¸¦ È¥ÀçµÅ ÀÖ´Ù°í º¸¿©Áø´Ù.
±¸º°À» À§ÇÑ µÎ °¡Áö ¿øÄ¢
º¸È£¶ó´Â ¿ë¾î¿Í º¸¾ÈÀ̶ó´Â ¿ë¾î°¡ °æ¿ì¿¡ µû¸¥ ¸íÈ®ÇÑ ±¸º°±âÁØ ¾øÀÌ È¥¿ëµÇ°í Àִµ¥, ¾î¶² °æ¿ì¿¡ º¸È£¶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ´Â °ÍÀÌ°í ¾î¶² °æ¿ì¿¡ º¸¾ÈÀ̶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ´Â °ÍÀÎÁö¿¡ ´ëÇÑ ½Ç¹«Àû ±Ù°Å¸¦ ã¾Æ¾ß ÇÑ´Ù°í »ý°¢µÈ´Ù. ÇöÀç´Â º¸È£¶ó´Â ¿ë¾î¿Í º¸¾ÈÀ̶ó´Â ¿ë¾î°¡ È¥ÀçµÅ »ç¿ëµÇ°í´Â ÀÖÁö¸¸ ´ÙÇàÈ÷µµ ±âÁ¸¿¡ Á¸ÀçÇÏ°í ÀÖ´ø Á¤ÀÇ¿¡¼ µÎ ¿ë¾îÀÇ ±¸º°À» À§ÇÑ ¸î °¡Áö Âø¾ÈÀ» ÇÒ ¼ö ÀÖ´Ù.
¸ÕÀú ¾Õ¼ »ìÆì º» <Ç¥-1>ÀÇ ³»¿ë Áß¿¡¼ ¡®Çѱ¹Á¤º¸º¸È£ÇÐȸ¡¯¿¡¼ Á¦½ÃÇÏ°í ÀÖ´Â ±âÁØÀ» »ìÆ캸¸é ¡®º¸È£¡¯´Â ¡®Á¤º¸¸¦ º¸È£ÇÏ´Â Æ÷°ýÀûÀÎ °³³ä¡¯À̶ó°í ¸»ÇÏ°í ÀÖ°í ¡®º¸¾È¡¯Àº ¡®±â¹Ð¼ºÀ» Áß½ÉÀ¸·Î ÇÏ´Â ±â¼úÀû, °ü¸®Àû º¸È£ÀÇ °³³ä¡¯À̶ó°í ¸»ÇÏ°í ÀÖ´Ù. ¶ÇÇÑ ¡®±¹°¡ ¾ÈÀüÇàÁ¤ºÎ º¸¾È¾÷¹«±ÔÁ¤¡¯¿¡¼ Á¦½ÃÇÏ°í ÀÖ´Â ±âÁØÀ» »ìÆ캸¸é ¡®º¸È£¡¯´Â ¡®Á¤º¸ÀÇ ¼öÁý¡¤°¡°ø¡¤ÀúÀ塤°Ë»ö¡¤¼Û½Å ¶Ç´Â ¼ö½ÅÇÏ´Â °æ¿ì¿¡ Á¤º¸ÀÇ À¯Ã⡤À§Á¶¡¤º¯Á¶ ¹× ÈÑ¼Õ µîÀ» ¹æÁöÇϱâ À§ÇÑ Çϵå¿þ¾î ¹× ¼ÒÇÁÆ®¿þ¾î¸¦ ¸»ÇÑ´Ù¡¯°í ¸»ÇÏ°í ÀÖ°í, ¡®º¸¾È¡¯Àº ¡®Á¤º¸½Ã½ºÅÛ ¹× Á¤º¸Åë½Å¸ÁÀ» ÅëÇØ ¼öÁý¡¤°¡°ø¡¤ÀúÀ塤°Ë»ö¡¤¼Û½Å ¶Ç´Â ¼ö½ÅµÇ´Â Á¤º¸ÀÇ À¯Ã⡤À§Á¶¡¤º¯Á¶ ¹× ÈѼÕÀ» ¹æÁöÇϱâ À§ÇØ °ü¸®Àû, ±â¼úÀû ¶Ç´Â ¹°¸®Àû ¼ö´ÜÀ» °±¸ÇÏ´Â ¸ðµç ÇàÀ§¡¯¸¦ ¸»ÇÑ´Ù.
¿©±â¼ ¾Ë ¼ö ÀÖ´Â Âø¾ÈÁ¡Àº µÎ °¡Áö°¡ µÉ ¼ö ÀÖ´Ù. ù°·Î º¸È£(Protection)ÀÇ ¡®´ë»ó¡¯Àº ¹Ù·Î Á¤º¸¶ó´Â °ÍÀÌ°í, º¸¾È(Security)Àº º¸È£´ë»óÀ» ÁöÅ°´Â ¡®¹æ¹ý¡¯À̶ó´Â Á¡ÀÌ´Ù. µÑ°·Î º¸È£(Protection)´Â ¡®¸ñÀû¡¯ÀÌ µÇ°í º¸¾È(Security)Àº º¸È£¸¦ À§ÇÑ ¡®¼ö´Ü¡¯ÀÌ µÈ´Ù´Â Á¡ÀÌ´Ù. ÀÌ·¯ÇÑ µÎ °¡Áö Âø¾È¿¡ ±â¹ÝÇØ º¸È£(Protection)¿Í º¸¾È(Security)À» ±¸º°ÇÏ´Â ±âÁØÀ» »ìÆ캸¸é [±×¸²-1]°ú °°´Ù.
[±×¸²-2] Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ ±¸º°À» À§ÇÑ µÎ °¡Áö ¿øÄ¢
ù ¹ø° ¿øÄ¢Àº ¡®¸ñÀû vs. ¹æ¹ý¡¯ÀÇ ±¸º°ÀÌ´Ù. Áï, Á¤º¸º¸È£(Information Protection)´Â º¸È£ÀÇ ´ë»óÀÎ Á¤º¸¸¦ º¸È£ÇÏ´Â °Í¿¡ ¸ñÀûÀ» µÎ°í ÀÖ°í, Á¤º¸º¸¾È(Information Security)Àº º¸È£ÀÇ ´ë»óÀÎ Á¤º¸¸¦ º¸È£Çϱâ À§ÇÑ ¹æ¹ýÀ» ¸»ÇÏ´Â °ÍÀÌ´Ù. µû¶ó¼ ¡®º¸È£¡¯´Â ¡®¸ñÀû ÁöÇâÀû¡¯ÀÌ°í ¡®º¸¾È¡¯Àº ¡®¹æ¹ý ÁöÇâÀû¡¯À̶ó°í ÇÒ ¼ö ÀÖ´Ù.
µÎ ¹ø° ¿øÄ¢Àº ¡®¿øÄ¢Àû/ÀϹÝÀû vs. ÀýÂ÷Àû/±¸Ã¼Àû¡¯ ±¸º°ÀÌ´Ù. Áï, Á¤º¸º¸È£(Information Protection)´Â ¿øÄ¢ÀûÀÌ¸é¼ ÀϹÝÀûÀÎ ¸ñÀû ±× ÀÚü¿¡ ÁßÁ¡À» µÐ Ç¥ÇöÀ» ÇÏ´Â °ÍÀÌ°í, Á¤º¸º¸¾È(Information Security)Àº º¸È£ ´ë»óÀ» º¸È£Çϱâ À§ÇÑ ÀýÂ÷ÀûÀ̸鼵µ ±¸Ã¼ÀûÀÎ ¹æ¹ý¿¡ ÁßÁ¡À» µÐ Ç¥ÇöÀ» ÇÏ´Â °ÍÀÌ´Ù.
À§ µÎ °¡Áö ±¸º°±âÁØÀ» Àû¿ëÇØ º»´Ù¸é, [±×¸²-3]°ú °°ÀÌ Á¤º¸º¸È£(Information Protection)¿Í Á¤º¸º¸¾È(Information Security)Àº ±× ´ë»óÀÌ Ãß±¸ÇÏ´Â ¹æÇ⼺¿¡ µû¶ó ±¸ºÐÀÌ °¡´ÉÇØÁø´Ù. Á¤¸®ÇÏÀÚ¸é, ´ë»óÀÌ Ãß±¸ÇÏ´Â ¹æÇâÀÌ ¡®¸ñÀûÁöÇâÀû/°´Ã¼Àû/¿øÄ¢Àû/ÀϹÝÀû¡¯ÀÎ °æ¿ì¿¡´Â Á¤º¸º¸È£(Information Protection)¶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ´Â °ÍÀÌ°í, ¡®¹æ¹ýÁöÇâÀû/ÁÖüÀû/ÀýÂ÷Àû/±¸Ã¼Àû¡¯ÀÎ °æ¿ì¿¡´Â Á¤º¸º¸¾È(Information Security)À̶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ´Â °ÍÀÌ ¿Ç´Ù°í º»´Ù. ÀÌ¿¡ °üÇÑ ±¸Ã¼ÀûÀÎ ¿¹½Ã´Â [±×¸²-9]¿¡¼ ÈļúÇϱâ·Î ÇÑ´Ù.
[±×¸²-3] Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ °³³äÀû ±¸ºÐ
Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀ» ±¸º°Çϴµ¥ Àû¿ëÇÒ ¼ö ÀÖ´Â ±âÁØ¿¡ ´ëÇØ Áö±Ý±îÁö
»ìÆì º» ¹Ù¸¦ ¹ÙÅÁÀ¸·Î ÇØ ÀÌÁ¦ºÎÅÍ´Â (ISC)©÷ CISSP CBK ³»¿¡¼ÀÇ Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ Ã¼°è¿¡ °üÇØ ¾Ë¾Æ º¸°íÀÚ ÇÑ´Ù.
CISSP CBK ³»¿¡¼ÀÇ Á¤º¸º¸È£¿Í Á¤º¸º¸¾È ü°èÀû °ü°è
CISSP ÀÚ°ÝÁõÀ» ÁÖ°üÇÏ´Â (ISC)©÷¿¡¼´Â ÃÖ±Ù CISSP CBK °ø½Ä °¡À̵å(Á¦4ÆÇ)¸¦ ¹ß°£Çß´Ù. ¿©±â¼ ¸»ÇÏ´Â CBK¶õ ¡®Common Body of Knowledge¡¯·Î¼, CISSPÀÇ ±Ù°£À» ÀÌ·ç°í ÀÖ´Â ÀϹÝÀûÀÎ Áö½Äü°è¸¦ ¸»ÇÏ´Â °ÍÀÌ´Ù. ÀÌ·¯ÇÑ CISSP CBK ³»¿¡¼ Á¤º¸º¸¾È°ú Á¤º¸º¸¾ÈÀÇ Ã¼°èÀû °ü°è´Â [±×¸²-4]¿¡ ÀÖ´Â ¡®À§Çè °ø½Ä¡¯¿¡¼ Ãâ¹ßÇÑ´Ù.
[±×¸²-4] À§Çè °ø½Ä
¸ÕÀú CISSP CBK¿¡¼ ¸»ÇÏ´Â °¢ ¿ë¾î¸¦ °£´ÜÇÏ°Ô »ìÆì º¸¸é, À§Çè(Risk)À̶õ ¡®À§Çù ¿ä¼Ò°¡ Ãë¾à¼º ¹× Ãë¾à¼º°ú °ü·ÃµÈ ¿µÇâÀ» ¾Ç¿ëÇÒ °¡´É¼º¡¯À» ÀǹÌÇÑ´Ù. ÀÚ»ê(Asset)À̶õ Á¶Á÷ÀÇ ±¸¼º¿øÀ» Æ÷ÇÔÇØ Á¶Á÷ÀÌ º¸À¯ÇÏ°í ÀÖ´Â À¯ÇüÀû ÀÚ»ê°ú ¹«ÇüÀû ÀÚ»êÀ» ¸»ÇÑ´Ù. Ãë¾à¼º(Vulnerability)À̶õ º¸¾È´ëÃ¥ÀÌ ºÎÁ·Çϰųª ¾àÇÑ »óŸ¦ ¸»ÇÑ´Ù. À§Çù(Threat)À̶õ À§Çù¿ä¼Ò°¡ Ãë¾à¼ºÀ» ¾Ç¿ëÇÏ´Â À§Çè»óȲÀ» ¸»ÇÑ´Ù.
[±×¸²-5] À§Çè°ø½Ä°ú À§ÇèÀÇ ¿¹½Ã
CISSP CBK¿¡¼ À§Çè(Risk)À» ³·Ãá´Ù´Â °ÍÀº °á±¹Àº Ãë¾à¼º(Vulnerability)À» ³·Ã߰ųª À§Çù(Threat)À» ³·Ãá´Ù´Â °ÍÀ» ÀǹÌÇÑ´Ù. ÀÌ·¯ÇÑ °úÁ¤À» À§Çè°ü¸®(Risk Management)¶ó°í Çϴµ¥, Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ °ü°è´Â ¹Ù·Î ÀÌ À§Çè°ü¸®¿¡¼ ±¸ºÐµÈ´Ù°í º¼ ¼ö ÀÖ´Ù.
Áï, À§Çè°ü¸®¶õ Á¶Á÷ ³»¿¡ ÀÖ´Â ¿©·¯ À¯ÇüÀÇ ÀÚ»êÀÇ °¡Ä¡¸¦ º¸È£Çϸé¼, ÀÚ»êÀÌ °¡Áö°í ÀÖ´Â Ãë¾à¼º°ú ±× Ãë¾à¼ºÀ» ¾Ç¿ëÇÏ·Á´Â À§ÇùÀ» ³·Ãß´Â ±â¹ýÀ» Àû¿ëÇÏ´Â °ÍÀÌ´Ù. µû¶ó¼ [±×¸²-6]¿¡¼ º¸´Â °Íó·³, ÀÚ»êÀº ¡®º¸È£(Protection)¡¯ÀÇ ´ë»óÀÌ µÇ´Â °ÍÀÌ°í, ÀÚ»ê°ú °ü·ÃÇÑ Ãë¾à¼º°ú À§ÇùÀ» ³·Ãß´Â ¿©·¯ ±â¹ýÀÌ ¡®º¸¾È(Security)¡¯ÀÇ ´ë»óÀÌ µÇ´Â °ÍÀÌ´Ù.
[±×¸²-6] À§Çè°ü¸® °üÁ¡¿¡¼ º» º¸È£¿Í º¸¾ÈÀÇ Ã¼°è
Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ Ã¼°èÀû °ü°è¿¡ °üÇØ Á¶±Ý ´õ ÀÚ¼¼È÷ »ìÆ캸ÀÚ. ¸ÕÀú º¸È£(Protection)ÀÇ ¿µ¿ªÀ» »ìÆ캸¸é, ÀÚ»êÀ» º¸È£ÇÑ´Ù´Â ¸ñÀûÀ» ÁöÇâÇÏ°í ÀÖ°í, ÀÚ»êÀ̶ó´Â °´Ã¼¸¦ ´ë»óÀ¸·Î ÀÖÀ¸¸ç, ±¸Ã¼ÀûÀÎ ¹æ¹ý·Ðº¸´Ù´Â ¿øÄ¢ÀûÀÌ°í ÀϹÝÀûÀÎ ³»¿ëÀ¸·Î Ç¥ÇöµÇ°í ÀÖ´Ù. ¹Ý¸é¿¡ º¸¾È(Security)ÀÇ ¿µ¿ªÀ» »ìÆ캸¸é, ¸ñÀûÀ» ´Þ¼ºÇϱâ À§ÇÑ ¹æ¹ýÀ¸·Î½á, Ãë¾à¼º°ú À§ÇùÀ» ³·Ãâ ¼ö ÀÖ´Â ±¸Ã¼ÀûÀÌ°í ÀýÂ÷ÀûÀÎ ±â¹ýµéÀÌ ³»¿ëÀ¸·Î Ç¥ÇöµÅ ÀÖ´Ù.
ƯÈ÷ º¸¾ÈÀ¯Çü(Control Type)ÀÇ °æ¿ì´Â Ãë¾à¼ºÀº ³·Ãß´Â º¸¾È ±â¹ýÀ¸·Î½á, °ü¸®Àû ÅëÁ¦¿Í ±â¼úÀû ÅëÁ¦ ±×¸®°í ¹°¸®Àû ÅëÁ¦ ±â¹ýÀÌ Á¦½ÃµÇ°í ÀÖ´Ù. ¶ÇÇÑ º¸¾È±â´É(Security Function)ÀÇ °æ¿ì¿¡´Â º¸¾ÈÀ¯Çü °¢°¢ÀÇ ÅëÁ¦±â¹ý ³»¿¡¼ º¸´Ù ±¸Ã¼ÀûÀ¸·Î Àû¿ëµÇ´Â ÅëÁ¦±â´ÉµéÀÌ Á¦½ÃµÇ°í ÀÖ´Ù. µû¶ó¼ À§Çè°ü¸®(Risk Management)¶ó´Â °ÍÀº ÀÚ»êÀÌ °¡Áö°í ÀÖ´Â Ãë¾à¼º°ú À§ÇùÀ» ³·Ãß´Â º¸¾È±â¹ýÀ» Àû¿ëÇØ ÀÚ»êÀÇ °¡Ä¡¸¦ º¸È£ÇÏ´Â °ÍÀÌ µÈ´Ù. Áï, º¸¾È(Security)À» Àû¿ëÇØ ÀÚ»êÀ» º¸È£(Protection)ÇÑ´Ù´Â °ÍÀÌ´Ù.
±×·¸´Ù¸é À̹ø¿¡´Â ¾Õ¼ »ìÆ캻 ¹Ù¿Í °°ÀÌ Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀ» ±¸º°ÇÏ´Â µ¥ Àû¿ëµÇ´Â µÎ °¡Áö ±âÁØÀÇ °üÁ¡¿¡¼ »ìÆì º¸ÀÚ. ¸ÕÀú Á¤º¸º¸È£(Information Protection)¶õ ¡®º¸È£´ë»óÀÎ Á¤º¸ÀÇ °¡¿ë¼º, ¹«°á¼º, ±â¹Ð¼ºÀ» ¿ø·¡ ±×´ë·Î º¸Á¸ÇÏ´Â °Í¡¯À¸·Î ¼³¸íÇÒ ¼ö Àִµ¥ ÀÌ´Â ¡®¸ñÀûÁöÇâÀû/°´Ã¼Àû/¿øÄ¢Àû/ÀϹÝÀû¡¯ÀΠǥÇöÀ̶ó°í º¸¿© Áø´Ù.
ÇÑÆí Á¤º¸º¸¾È(Information Security)À̶õ ¡®º¸È£´ë»óÀÎ Á¤º¸ÀÇ Ãë¾à¼º°ú ±× Ãë¾à¼ºÀ» ¾Ç¿ëÇÏ·Á´Â À§ÇùÀ» ³·Ãß´Â °ü¸®Àû, ±â¼úÀû, ¹°¸®Àû ±â¹ýÀ» Àû¿ëÇÏ´Â °Í¡¯À¸·Î ¼³¸íÇÒ ¼ö ÀÖ´Ù. ¹°·Ð °ü¸®Àû, ±â¼úÀû, ¹°¸®Àû ±â¹ý ³»¿¡´Â ÀýÂ÷ÀûÀÌ°í ±¸Ã¼ÀûÀÎ º¸¾È±â¹ýÀÎ º¸¾È±â´É(Security Function)ÀÌ °¢°¢ Æ÷ÇԵŠÀÖÀ¸¹Ç·Î ÀÌ´Â ¡®¹æ¹ýÁöÇâÀû/ÁÖüÀû/ÀýÂ÷Àû/±¸Ã¼Àû¡¯ÀΠǥÇöÀ̶ó°í º¸¿© Áø´Ù. »ìÆì º» ´ë·Î, Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ Ã¼°èÀû °ü°è´Â [±×¸²-7]°ú °°ÀÌ Á¤¸®µÉ ¼ö ÀÖ´Ù.
[±×¸²-7]¿¡¼ º¼ ¼ö ÀÖ´Â °Íó·³, CISSP CBK ³»¿¡¼´Â Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀº ü°èÀû ¿¬°èµÅ ÀÖÀ¸¸é¼µµ ±× Àǹ̿¡ À־ ±¸º°µÅ »ç¿ëµÇ°í ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù.
[±×¸²-7] CISSP CBK ³»¿¡¼ÀÇ Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ °ü°è ü°èµµ
¸ÕÀú °£·«È÷ ü°èÀû °ü°è¸¦ »ìÆì º¸¸é, º¸¾ÈÀ» Àû¿ëÇÏ´Â ¸ñÀû(Áï, Security Purpose)Àº Á¤º¸¸¦ º¸È£(Protection)Çϱâ À§ÇÑ ¸ñÀûÀÓÀ» ¾Ë ¼ö ÀÖ´Ù. ±×¸®°í ÀÌ·¯ÇÑ ¸ñÀûÀ» ´Þ¼ºÇϱâ À§ÇÑ º¸¾È¿øÄ¢(Security Principle)À¸·Î¼ °¡¿ë¼º, ±â¹Ð¼º, ¹«°á¼ºÀÇ º¸Á¸À» õ¸íÇÏ°í ÀÖ´Ù.
ÇÑÆí, °¡¿ë¼º, ±â¹Ð¼º, ¹«°á¼ºÀ» °¢°¢ º¸Á¸ÇÏ´Â ÀýÂ÷·Î½á, º¸¾ÈÅëÁ¦À¯Çü(Security Control Type)°ú º¸¾ÈÅëÁ¦±â´É(Security Control Function)ÀÌ ÇÊ¿äÇÏ°Ô µÈ´Ù. ±×¸®°í ±¸Ã¼ÀûÀÎ º¸¾È±â¹ýÀÎ º¸¾ÈÅëÁ¦±â´É(Security Control Function)Àº °¢°¢ÀÇ º¸¾ÈÅëÁ¦À¯Çü(Security Control Type)ÀÇ ¿ä±¸»çÇ×À» ÃæÁ·Çϱâ À§ÇÑ °ÍÀÌ°í ÀÌ·¯ÇÑ ÃæÁ·Àº °á±¹ ¼¼ °¡Áö º¸¾È¿øÄ¢(Security Principle)À» °¢°¢ ÁؼöÇÒ ¼ö Àִ ü°èÀûÀÎ °ü°è¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
´ÙÀ½À¸·Î µÎ ¿ë¾î¿¡ ³»Æ÷µÅ ÀÖ´Â Àǹ̸¦ »ìÆ캸¸é, Á¤º¸º¸È£(Information Protection)´Â ƯÁ¤ ´ë»óÀ» º¸È£ÇÑ´Ù´Â ¸ñÀû¼ºÀ» ¶ì°í ÀÖÀ¸¸ç, ±¸Ã¼ÀûÀÎ ¹æ¹ýº¸´Ù´Â ¿øÄ¢ÀûÀÌ°í ÀϹÝÀûÀÎ Àǹ̷Π»ç¿ëµÇ°í ÀÖ´Ù. ¹Ý¸é¿¡ Á¤º¸º¸¾È(Information Security)Àº ¸ñÀûÀ» ´Þ¼ºÇϱâ À§ÇÑ ¹æ¹ýÀ̹ǷΠ±¸Ã¼ÀûÀ¸·Î ´©±¸¿¡ ÀÇÇØ ¾î¶² ÀýÂ÷·Î ¼öÇàµÇ´ÂÁö¸¦ º¸¿©ÁÖ´Â Àǹ̷Π»ç¿ëµÇ°í ÀÖ´Ù.
µû¶ó¼ ÀǹÌÀûÀÎ ±¸ºÐ±âÁØÀ¸·Î ¡®¸ñÀûÁöÇâÀû/°´Ã¼Àû/¿øÄ¢Àû/ÀϹÝÀû¡¯ÀÎ °æ¿ì¿¡´Â Á¤º¸º¸È£(Information Protection)¶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ°í, ¡®¹æ¹ýÁöÇâÀû/ÁÖüÀû/ÀýÂ÷Àû/±¸Ã¼Àû¡¯ÀÎ °æ¿ì¿¡´Â Á¤º¸º¸¾È(Information Security)À̶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ°í ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù.
ÇÑÆí CISSP CBK¿¡¼ Ç¥ÇöÇÏ°í ÀÖ´Â Á¤º¸º¸È£(Information Protection)¿Í Á¤º¸º¸¾È(Information Security)ÀÇ Ã¼°èÀûÀÎ °ü°è°¡ ½Ç¹«ÀûÀ¸·Îµµ ÀÏÄ¡ÇÏ°í ÀÖ´ÂÁö¸¦ È®ÀÎÇØ º¼ ÇÊ¿ä°¡ ÀÖ´Ù.
[±×¸²-8] Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ °ü°èü°è¸¦ ÀÌ¿ëÇÑ ½Ç¹«Àû Àû¿ë(¿¹)
[±×¸²-8]¿¡¼ º¼ ¼ö ÀÖ´Â °Íó·³, ¸ÕÀú º¸È£(Protection)ÀÇ ¿µ¿ªÀ» º¸¸é, º¸È£´ë»óÀÎ ÀÚ»ê(Asset)À» º¸È£Çϱâ À§ÇÑ ¸ñÀûÀ¸·Î ÀÚ»êÀ̶ó´Â °´Ã¼¸¦ À¯ÇüÈ(ÇÙ½É, À¯Çü, ¹«Çü µî)ÇÏ°í ÀÖ´Ù. ±×¸®°í º¸¾È(Security)¿µ¿ª¿¡¼´Â º¸È£¸ñÀûÀ» ´Þ¼ºÇϱâ À§ÇÑ ±¸Ã¼ÀûÀÎ ¹æ¹ý·ÐÀ¸·Î¼, º¸¾È¿øÄ¢(Security Principle)°ú º¸È£´ë»óÀÎ ÀÚ»êÀÌ °¡Áö°í ÀÖ´Â Ãë¾à¼ºÀ» ³·Ãâ ¼ö ÀÖ´Â ±¸Ã¼ÀûÀÎ º¸¾È±â¹ýÀ¸·Î¼ º¸¾ÈÅëÁ¦À¯Çü(Security Control Type)ÀÌ ´Ù·ç¾îÁö°í ÀÖ´Ù. ¶ÇÇÑ °¢°¢ÀÇ º¸¾ÈÅëÁ¦À¯Çü¿¡´Â Ãë¾à¼ºÀ» ¾Ç¿ëÇÏ´Â À§ÇùÀ» ³·Ãâ ¼ö ÀÖ´Â °³º°ÀûÀ¸·Î º¸¾ÈÅëÁ¦±â´É(Security Control Function)µéÀÌ º¸´Ù ±¸Ã¼ÀûÀ¸·Î ´Ù·ç¾îÁö°í ÀÖÀ½À» º¼ ¼ö ÀÖ´Ù.
[±×¸²-9] Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ ÀǹÌÀû ±¸º°±âÁØ°ú Àû¿ë(¿¹)
»ìÆ캻 ¹Ù¿Í °°ÀÌ CISSP CBK¿¡¼´Â Á¤º¸º¸È£(Information Protection)¿Í Á¤º¸º¸¾È(Information Security)ÀÇ Ã¼°èÀû °ü°è¸¦ ½Ç¹«ÀûÀ¸·Îµµ Àû¿ëÇÏ°í ÀÖ´Ù. µû¶ó¼ ÀÌ·¯ÇÑ Ã¼°èÀû °ü°èÀÇ Àǹ̸¦ ³»Æ÷ÇÏ°í ÀÖ´Â Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ °³³äÀûÀÎ ±¸º°±âÁØÀÌ CISSP CBK¿¡¼ ÃæºÐÈ÷ Á¦½ÃµÇ°í ÀÖ´Ù°í º¸¿©Áø´Ù.
Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀÇ Ã¼°èÀû °ü°è¸¦ Á¤¸®Çϸç
Á¤º¸º¸È£¿Í Á¤º¸º¸¾ÈÀ̶ó´Â ¿ë¾îÀÇ »ç¿ë¿¡ ÀÖ¾î¼ ¸ðÈ£ÇÔÀÌ Á¸ÀçÇß´ø ÀÌÀ¯´Â ù°·Î ¾î¶² °æ¿ì¿¡ º¸È£¶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ°í ¾î¶² °æ¿ì¿¡ º¸¾ÈÀ̶ó´Â ¿ë¾î¸¦ »ç¿ëÇϴ°¡¿¡ °üÇÑ ±¸º°±âÁØÀÌ ¾ø¾ú´Ù´Â °ÍÀÌ°í µÑ°·Î´Â º¸È£¿Í º¸¾ÈÀÌ ´Ù·ç°í ÀÖ´Â ´ë»óÀÌ µ¿ÀÏÇ߱⠶§¹®ÀÌ´Ù.
ÀÌ·¯ÇÑ ±âÁØÀ» Àû¿ëÇØ Á¤º¸º¸È£(Information Protection)¶ó´Â ¿ë¾î³ª Á¤º¸º¸¾È(Information Security)À̶ó´Â ¿ë¾î¸¦ »ç¿ëÇÏ°Ô µÈ´Ù¸é, °¢ ¿ë¾î¸¦ ¾²´Â »ç¶÷À̳ª Àд »ç¶÷ÀÌ µ¿ÀÏÇÑ Àǹ̷ΠÀÌÇØµÉ ¼ö ÀÖÀ» °ÍÀ¸·Î ±â´ëµÈ´Ù.
[±Û _ ¹éÁ¦Çö Çѱ¹CISSPÇùȸ ºÎȸÀå(jaehyeon100@gmail.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>